The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +1 +/
Сообщение от opennews (??) on 09-Окт-12, 19:45 
Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) представила (https://www.eff.org/deeplinks/2012/10/https-everywhere-3-and...) релиз HTTPS Everywhere 3.0 (https://www.eff.org/https-everywhere) - дополнения к Firefox, позволяющего на всех сайтах где это возможно использовать шифрование трафика. Дополнение призвано решить проблему с сайтами, по умолчанию предоставляющими доступ без шифрования, но тем не менее поддерживающими HTTPS, а также ресурсами, использующими ссылки из безопасной области на незашифрованные страницы. Для таких сайтов  HTTPS Everywhere обеспечивает автоматическое перенаправление запросов на HTTPS-области сайтов.


В новой версии удвоен размер поддерживаемой проектом базы данных с набором правил, отражающих особенностей использования HTTPS на сайтах и сервисах - в базу добавлено 1500 новых правил перенаправления. Среди мотивов создания дополнения HTTPS Everywhere отмечаются  участившиеся случаи сниффинга в локальных сетях: появление таких инструментов, как Firesheep (http://codebutler.github.com/firesheep/), сделало доступным для любого желающего процесс перехвата паролей и сессионных cookie к различным социальным сетям и web-сервисам. HTTPS Everywhere также позволяет защититься от участившихся попыток провайдеров вклиниться в трафик клиента, например, некоторые провайдеры были уличены в подстановке своего рекламного контента на открываемые страницы.


Кроме того, можно отметить утверждение (http://www.ietf.org/mail-archive/web/ietf-announce/current/m...) организацией IETF статуса предложенного стандарта для протокола HSTS (HTTP Strict Transport Security), позволяющего владельцам сайтов указать о необходимости использования шифрованного соединения и определить правила для переброса на соответствующую HTTPS-область. Для переброса пользователя, зашедшего через HTTP на соответствующую область HTTPS, используется HTTP-заголовок Strict-Transport-Security. Статус предложенного стандарта присвоен после 14 предварительных черновых версий RFC. Следующей стадией развития RFC является придание статуса чернового стандарта (Draft Standard), по сути означающего полную стабилизацию протокола и учёт всех высказанных замечаний.  А настоящее время поддержка HSTS уже реализована в браузерах Chrome, Firefox и Opera.

URL: https://www.eff.org/deeplinks/2012/10/https-everywhere-3-and...
Новость: http://www.opennet.ru/opennews/art.shtml?num=35036

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +1 +/
Сообщение от Аноним (??) on 09-Окт-12, 19:45 
Все бы ничего если бы не одно но: любой му...^W удостоверяющий центр может выписать сертификат на все что угодно. И тот факт что некто перегенерил сертификат "гуглю", "мозилле" и прочим - никак не будет отловлен. А вот это уже хреново. По поводу чего https в текущем виде больше похож на декоративно-прикладные упражнения в имитации секурити.

Соответственно я все понимаю, но стремление внедрить декоративную секурити как-то не радует.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  –3 +/
Сообщение от Аноним (??) on 09-Окт-12, 20:01 
можно пользоваться хромом и гуглом.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +2 +/
Сообщение от Аноним (??) on 09-Окт-12, 20:14 
Это не починит фундаментальный косяк протокола. Зато подставит под удар еще и приваси + втравит в зависимость от сервисов одной единственной шараги. Нафига б такое счастье?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +/
Сообщение от Анон on 10-Окт-12, 20:59 
Это не косяк протокола, а косяк используемого способа проверки сертификата. Этот способ _не требуется_ протоколом SSL/TLS, и вы не обязаны его использовать. К примеру, вы можете отключить все корневые сертификаты и при каждой смене отпечатка проверять его вручную по нескольким каналам. Кроме того, есть надежда, что скоро начнёт активно использоваться DANE - передача сертификата через DNSSEC, при использовании которой отправить вам фальшивый сертификат может только авторитативный DNS-сервер, обслуживающий посещённый вами адрес.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

24. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +/
Сообщение от Аноним (??) on 10-Окт-12, 21:35 
> Это не косяк протокола, а косяк используемого способа проверки сертификата. Этот способ
> _не требуется_ протоколом SSL/TLS, и вы не обязаны его использовать. К
> примеру, вы можете отключить все корневые сертификаты и при каждой смене
> отпечатка проверять его вручную по нескольким каналам. Кроме того, есть надежда,
> что скоро начнёт активно использоваться DANE - передача сертификата через DNSSEC,
> при использовании которой отправить вам фальшивый сертификат может только авторитативный
> DNS-сервер, обслуживающий посещённый вами адрес.

Это не косяк используемого способа проверки сертификата. Это косяк концепции слепого доверия, основанного на "мамой клянусь!"^WCertificate Policy Statement любого му..^Wудостоверяющего центра.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Организация EFF представила HTTPS Everywhere 3.0...."  +/
Сообщение от arisu (ok) on 11-Окт-12, 05:41 
> вы можете отключить все корневые сертификаты и при каждой смене
> отпечатка проверять его вручную по нескольким каналам.

а ещё можно смотреть http в telnet. примерно так же удобно.

> передача сертификата через DNSSEC

как будто есть какая-то разница между разными местами централизации. идея централизации defective by design, и любая система, основаная на «доверии» какому-то центру, должна считаться скомпрометированой ещё до публичного релиза.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

12. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +/
Сообщение от filosofem (ok) on 09-Окт-12, 23:48 
Не надоело писать один и тот же бред в каждой новости про HTTPS? Ремень безопасности тоже декоративная мера при лобовом столкновении с камазом. А если за руль посадить слепого безногого имбецила с суицидальными наклонностями, то наличие ABS и никак не повлияет на тормозной путь.  
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Организация EFF представила HTTPS Everywhere 3.0...."  +1 +/
Сообщение от arisu (ok) on 10-Окт-12, 05:51 
> Не надоело писать один и тот же бред в каждой новости про HTTPS?

нет, не надоело. явное отсутствие средств безопасности намного лучше, чем наличие нерабочих имитаторов. это понятно даже лысому ежу.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

3. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +/
Сообщение от Аноним (??) on 09-Окт-12, 20:00 
>Кроме того, можно отметить утверждение организацией IETF статуса предложенного стандарта для протокола HSTS (HTTP Strict Transport Security), позволяющего владельцам сайтов указать о необходимости использования шифрованного соединения и определить правила для переброса на соответствующую HTTPS-область. Для переброса пользователя, зашедшего через HTTP, на соответствующую область HTTPS, используется HTTP-заголовок Strict-Transport-Security.

При этом нет гарантии что заголовок не подменили и правила не убрали.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +1 +/
Сообщение от Аноним (??) on 09-Окт-12, 20:14 
> При этом нет гарантии что заголовок не подменили и правила не убрали.

Вы подсказываете провайдерам как hijack-ать протокол? :)


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +2 +/
Сообщение от Капитан (??) on 09-Окт-12, 23:10 
Кому надо все и без нас знают.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +1 +/
Сообщение от Xasd (ok) on 09-Окт-12, 20:21 
> При этом нет гарантии что заголовок не подменили и правила не убрали.

кстате говоря -- надо не забывать о том что для HTTP (не HTTPS) -- заголовок Strict-Transport-Security -- совершенно ничего не делает.

..другими словами внутри HTTP-трафика его подмена совершенно ни на что не влияет.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +/
Сообщение от другой аноним on 10-Окт-12, 09:49 
>Для переброса пользователя, зашедшего через HTTP, на соответствующую область HTTPS, используется HTTP-заголовок Strict-Transport-Security

что-то непонятно Вы выразились - как это не повлияет? Провайдер уберет заголовок и пользователь не перебросится, ибо браузер не будет знать куда перебросить. Останетесь на незашифрованном соединении


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +/
Сообщение от Аноним (??) on 09-Окт-12, 21:05 
В Squid бы такое. Чтоб между сайтом и прокси по HTTPS, а браузеру отдавал уже нешифрованное. Заодно и кешировал бы попрежнему. А то если браузер будет преимущественно по HTTPS работать, эффективность Squid сведётся на нет. Разумеется, всё это для маленькой домашней сетки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +/
Сообщение от Аноним (??) on 10-Окт-12, 21:37 
> В Squid бы такое. Чтоб между сайтом и прокси по HTTPS, а
> браузеру отдавал уже нешифрованное. Заодно и кешировал бы попрежнему. А то
> если браузер будет преимущественно по HTTPS работать, эффективность Squid сведётся на
> нет. Разумеется, всё это для маленькой домашней сетки.

Тю, умник! А про SSLBUMP ты никогда, сталоть, не слышал? В том самом сквиде? М? Тоже мне, нашел ж.пу с лабиринтом!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +/
Сообщение от Дима Lenny Биан on 09-Окт-12, 21:34 
Что-то мне кажется, что получится как с Do Not Track. "Всё-таки включить шифрование, если есть техническая возможность", если кто-то сознательно не включил его раньше, значит и теперь будут отключать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  –1 +/
Сообщение от Толя Вихров (ok) on 09-Окт-12, 23:18 
По-моему аддон HTTPS Finder лучше: он сам ищет какой сайт поддерживает HTTPS, а в HTTPS Everywhere забит список сайтов, которые поддерживают HTTPS (еще бесит, когда каждый раз предлагает их сохранить).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Организация EFF представила HTTPS Everywhere 3.0...."  –3 +/
Сообщение от arisu (ok) on 10-Окт-12, 05:52 
лучше бы публично отрывали руки идиотам, которые делают принудительный https через перенаправления. от этого всяко пользы больше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Организация EFF представила HTTPS Everywhere 3.0...."  +/
Сообщение от zzz (??) on 10-Окт-12, 09:16 
а чем хуже принудительный https? что кто то его не поддерживает?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Организация EFF представила HTTPS Everywhere 3.0...."  –1 +/
Сообщение от arisu (ok) on 10-Окт-12, 09:17 
> а чем хуже принудительный https?

тем, что это вредная иллюзия безопасности, которая даёт только лишние тормоза и никакого толка.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Организация EFF представила HTTPS Everywhere 3.0...."  +/
Сообщение от zzz (??) on 10-Окт-12, 10:18 
чем вредная? по пути никто не сможет перехватить пароль, а так то например разработчик сайта может тупо перехватывать себе все)))
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Организация EFF представила HTTPS Everywhere 3.0...."  +/
Сообщение от arisu (ok) on 10-Окт-12, 10:30 
> по пути никто не сможет перехватить пароль

бугога. g://diginotar g://trustwave
всё, этого достаточно. не бывает «немножко скомпрометированой системы» — или беременна, или нет. особенно это касается систем с централизоваными центрами «доверия».

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Организация EFF представила HTTPS Everywhere 3.0...."  +/
Сообщение от zzz (??) on 10-Окт-12, 10:35 
для тупых можно по шагам?
что это: g://diginotar g://trustwave ?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Организация EFF представила HTTPS Everywhere 3.0...."  +/
Сообщение от arisu (ok) on 10-Окт-12, 10:37 
google это. на два самых известных факта про «удостоверяющие центры», их честность и эпик фэйлы.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Организация EFF представила HTTPS Everywhere 3.0...."  +/
Сообщение от zzz (??) on 10-Окт-12, 10:41 
>> по пути никто не сможет перехватить пароль
> бугога. g://diginotar g://trustwave

ага, вероятно это скомпрометированные центры сертификации...
их сертификаты можно подписывать корневым сертификатом зашитым в браузер, но при этом
делать запросы куда то в центр за списками отмены сертификатов центров сертификации которые (эти списки) подписаны закрытым ключем корневого центра, открытый ключ которого у нас зашит в браузер...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "Организация EFF представила HTTPS Everywhere 3.0...."  +/
Сообщение от ызусефещк on 11-Окт-12, 17:01 
Ваш дверной замок - такая же иллюзия безопасности, (бугога g://взлом замков )
Однако дверку в квартиру Вы закрываете чтоб бомж не насрал.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "Организация EFF представила HTTPS Everywhere 3.0...."  +/
Сообщение от kurokaze (ok) on 11-Окт-12, 14:20 
>только лишние тормоза

Ну это только на твоем домашнем говносерваче из пня второго

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

32. "Организация EFF представила HTTPS Everywhere 3.0...."  +/
Сообщение от arisu (ok) on 12-Окт-12, 03:12 
третьего.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

27. "Организация EFF представила HTTPS Everywhere 3.0. Протокол H..."  +/
Сообщение от Аноним (??) on 11-Окт-12, 11:31 
это конечно полезно, но не то. Ожидаемая фича: встроенный в браузер шифрованный туннель по http к доверительному серверу-посреднику от производителя браузера, как у opera режим турбо. Это нужно там, где https невозможен или недоступен...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру